暂无配图 暂无配图
小技术 Android常见安全风险点之Manifest allowBackup开启

当这个标志被设置为true或不设置该标志时应用程序数据可以备份和恢复,adb调试备份允许恶意攻击者复制应用程序数据。 在AndroidManifest.xml中设置android:allowBackup=\"false\"。

暂无配图 暂无配图
小技术 Android常见安全风险点之随机数加密不安全使用漏洞

使用SecureRandom时不要使用SecureRandom (byte[] seed)这个构造函数,会造成生成的随机数不随机。 建议通过/dev/urandom或者/dev/random获取的熵值来初始化伪随机数生成器PRNG。

暂无配图 暂无配图
小技术 Android常见安全风险点之Manifest debuggable开启

在manifest.xml中定义Debuggable项,如果该项被打开,app存在被恶意程序调试的风险,可能导致泄漏敏感信息泄漏等问题。 显示的设置manifest的debuggable标志为false

暂无配图 暂无配图
小技术 Android常见安全风险点之HTTPS不校验证书

HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。 必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android …

暂无配图 暂无配图
小技术 Android常见安全风险点之外部存储风险

sdcard存储的信息可以被其他应用任意读取,如果有敏感信息会造成信息被恶意应用获取风险。 通过内部存储存文件openFileOutput(filename, Context.MODE_PRIVATE)或者对于敏感的数据加密后存储。

暂无配图 暂无配图
小技术 Android常见安全风险点之sdcard硬编码

Android4.1之前的版本中,sdcard跟路径通过“/sdcard”或者“/mnt/sdcard”来表示,而在Jelly Bean系统中修改为了“/storage/sdcard0”,以后可能还会有多个sdcard的情况。目前为了保持和之前代码的兼容,不要硬 …

暂无配图 暂无配图
小技术 Android常见安全风险点之Intent风险

隐式intent没有明确指明哪些接收方有权限接收,恶意程序指定action标识后,可以获取intent内容,导致数据泄露,intent劫持,仿冒,钓鱼应用等风险。 使用Intent.setPackage、Intent.setComponent、Intent.s …

暂无配图 暂无配图
小技术 Android常见安全风险点之webview使用searchBoxJavaBridge_风险

webview组件的接口函数searchBoxJavaBridge_存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。 调用removeJavascriptInterfac …

拿起手机扫一扫即可带走我!